Votre projet GitHub n’est peut-être plus aussi inoffensif qu’il en a l’air, des groupes organisés y cachent discrètement du malware pour contourner toutes les protections.
Les dépôts GitHub publics ont récemment été utilisés comme point d’entrée pour héberger des malwares. En avril 2025, des campagnes ciblées ont exploité GitHub pour diffuser Amadey, un voleur de données actif dans de nombreux incidents récents. En camouflant les charges dans du code partagé, les groupes malveillants ont échappé aux filtres classiques de sécurité. « Les opérateurs MaaS ont utilisé de faux comptes GitHub pour faciliter l’usage des charges malveillantes », précisent les chercheurs de Cisco Talos.
Une chaîne d’infection connectée à des voleurs connus
L’attaque repose sur Emmenhtal, un chargeur de malwares aussi connu sous le nom PEAKLIGHT. Il sert à déployer Amadey, qui agit ensuite comme vecteur pour Lumma Stealer, RedLine Stealer ou Rhadamanthys Stealer. Trois comptes GitHub (Legendary99999, DFfe9ewf et Milidmdds) ont hébergé ces fichiers avant leur suppression.
Certains scripts JavaScript dans ces dépôts étaient identiques à ceux d’une campagne phishing menée en Ukraine quelques mois plus tôt. Des scripts Python présents dans les mêmes dépôts indiquent une version évoluée d’Emmenhtal, avec une commande PowerShell pour télécharger Amadey directement.
Amadey se distingue d’Emmenhtal par ses plugins DLL personnalisables et ses capacités d’espionnage. Il permet notamment de voler des identifiants, de capturer des écrans ou d’extraire des données système. Ce malware diffusé via GitHub fait partie d’un écosystème bien structuré, alimenté par les acteurs du malware-as-a-service. Les chercheurs notent également qu’Amadey a déjà servi à déployer des ransomwares comme LockBit 3.0, ce qui témoigne de sa flexibilité et de sa dangerosité.
SquidLoader cible l’Asie et échappe à la détection
En parallèle, Trellix a observé une campagne de phishing à Hong Kong utilisant SquidLoader. Ce malware complexe utilise des techniques anti-analyse et anti-sandbox pour contourner les protections habituelles. Une fois installé, il contacte un serveur distant, collecte des données système et injecte une balise Cobalt Strike. « Ses faibles taux de détection représentent une menace importante pour les organisations », alerte Charles Crofford, chercheur chez Trellix.
Les campagnes ne s’arrêtent pas à GitHub, elles exploitent aussi AWS, des QR codes et des kits de phishing. Certaines imitent des services comme la sécurité sociale américaine ou utilisent des thèmes fiscaux pour inciter à cliquer. D’autres abusent de fichiers SVG contenant du JavaScript obscurci pour rediriger les victimes. Selon Cofense, 57 % des attaques avec techniques avancées en 2024 utilisaient des QR codes dans leurs leurres.
Les projets open source exposés à de nouvelles formes de menace
L’utilisation de GitHub pour héberger un malware reflète une évolution stratégique des cybercriminels. Ces derniers cherchent des plateformes de confiance pour dissimuler leurs charges malveillantes. En utilisant GitHub comme relais, ils misent sur la réputation de l’hébergement pour contourner les barrières de sécurité. Le code collaboratif devient ainsi une cible idéale pour injecter discrètement des malwares.
